Phishing Seite

[suschi]

Hallo Jungs,

ich möchte bei euch mal folgendes erfragen.

Ich habe einen v-Server und habe dort einige Portal laufen. Eines davon war leider etwas veraltet zudem noch ein Komponente installiert die eine kleine Sicherheitslücke hatte.
Nun hat es jemand geschafft eine Datei hochzuladen namen "customer.ibc.html" (wie unten im Bild)und man konnte nur die Datei aufrufen wenn man wusste wo die liegt.
Mein Hoster hat mir darauf hin eine Mail geschrieben das er von dritten aufmerksam gemacht worden wäre und ich dies bitte entfernen solle.
Gemacht getan.

Ich bin kein php Crack und habe eine kleine Erfahrungen auf der Root Konsole.

Jetzt allerdings meine Frage :
Was sollte ich in der Php.ini eingestellt haben bzw. wozu ratet Ihr mir ?
Bilder sollten User hochladen können. Muss in den Portalen freigeschaltet sein das nur registrierte dies können.

Was muss ich auf der Seite des Serves beachten ? Samba läuft nicht und ich bin der einzige der Zugriff auf den Rechner/Server hat.

Bin wahrscheinlich auch jemand der meint mit nem Server umgehen zu können
Naja...net ganz so schlimm

Betriebssystem : Suse 9.3 und Plesk 8.1


Gruß
suschi

 

[phor]

Das entsetzte Aufschreien überlass ich mal den anderen.

Am wichtigsten wäre es imo herauszufinden, wie die Datei auf deinen Server gelangt ist und wie du schon schreibst, dieses verantwortliche Skript entsprechend ersetzen.

Allerdings besteht jetzt natürlich die Gefahr, dass nicht nur diese eine Datei auf deinen Server gefunden hat. Welche PHP Version hast du denn drauf?

 

[charli]

Hallo,

Eines davon war leider etwas veraltet zudem noch ein Komponente installiert die eine kleine Sicherheitslücke hatte.

Server neu aufsetzen und darauf achten, daß nix veraltet ist und keine Komponenten mit Sicherheitslücken installiert sind.

Sollten die Kernelupdates mit gleicher Gewissenhaftigkeit erfolgt sein könnte der oder ein anderer Einbrecher Rootrechte erlangt haben und in die Logfiles reingeschrieben haben was er will.

Was sollte ich in der Php.ini eingestellt haben

register_globals off, allow_url_fopen off; es gibt hier auch irgendwo ein ausführliches HowTo zum Thema.

Muss in den Portalen freigeschaltet sein das nur registrierte dies können.

Mit der passenden Sicherheitslücke kann jeder machen was nur registrierte User können sollten.

... und ich bin der einzige der Zugriff auf den Rechner/Server hat.

Offensichtlich nicht.

Betriebssystem : Suse 9.3

Dafür gibt's seit einigen Wochen keine Sicherheitsupdates mehr, also bei der ohnehin unverzichtbaren Neuinstallation eine aktuelle Version (10.x) verwenden.

 

[suschi]

oje

Hallo Jungs,

oje wenn ich dat hier lese verlässt mich die Lust auf nen Server.

He Charli,
also die beschriebenen PhP Einstellungen habe ich sofort geändert.

Die beschrieben Datei die auf meinem Server lag muss über eine Komponente (eines CMS Systems) rübergekommen sein die Sicherheitslücken hatte. Die Datei lag genau in dem Verzeichnis wo auch die Bilder lagen wenn welche upgeloaded wurden.
Komischerweise sind keine hohen Zugriffe auf die Seite (max. 20 Pro Tag) und das wundert mich das es bei mir geknallt hat.

Hey Phor,
was meinst du nur mit nur nicht diese Datei ? Was kann ich machen um zu schauen welche noch hochgeladen wurden ?
Ich habe das Verzeichnis der besagten Domain sofort gelöscht...


Oh man...

Gruß
suschi

 

[charli]

Hallo,

dann ist der Weg wie die Datei draufgekommen ist mit großer Wahrscheinlichkeit gefunden. Wie man Deinen Server gefunden hat: vermutlich einfach über Google.

Da Du nicht sicher feststellen kannst ob weitere Manipulationen erfolgt sind ist Neuinstallation angesagt, wegen der veralteten Suseversion ohnehin.

Hört bzw macht keiner gerne, müssen wir alle leider alle 1-2 Jahre neu installieren.

 

[BlackPixel]

Die beschrieben Datei die auf meinem Server lag muss über eine Komponente (eines CMS Systems)

Gruß
suschi

Welches CMS sowie welche Version? Um so etwas zu umgehen sollte schon das Upload Formular so gestaltet werden, dass auch nur Files die gefordert sind, hochgeladen werden können.
In Deinem Falle Bilddateien (jpg?)

 

[suschi]

Hey BlackPixel.

also es ist Joomla die Version 1.0.12 und bei meiner verseuchten Version leider die 1.0.10.

Ich habe einige Portal auf diesem System und alle auf der Version 1.0.12 nur diese eine nicht.Kotz....

Ja sollten nur jpg oder bmp aber keine html datein wie die oben beschriebene...

Ich werd echt wahnsinng.

Da ich heute nicht mehr dazu komme den Server neu zu installieren macht es Sinn den anzuhalten ?

Gruß

 

[blupp1]

Ein heruntergefahrener Server ist immer der sicherste!

EDIT: BlackPixel ich war schneller! *g*

 

[BlackPixel]

macht es Sinn den anzuhalten ?

Da Du momentan nicht wirklich weisst was sonst auf dieser Kiste vorgeht, wäre es ratsam das dingens erst mal stillzulegen.

Gruß

Gruß zurück.

 

[suschi]

jungs danke

hey jungs danke nochmal,

habe alle Domains bsi auf zwei wo nur html und kein PHP läuft abgeschaltet un den Apache neu gestartet.

Ganz herunterfahren kann ich den Server net...Muss bis Donnerstag klappen. Ich denke eine html Seite sollte keine Gefahr sein,oder ?

Gruß
suschi

 

[blupp1]

Kommt drauf an, wenn der sonst nichts mit dem Server angestellt hat, dann net.

 

[Thunderbyte]

oje wenn ich dat hier lese verlässt mich die Lust auf nen Server.

Ich versteh eh nicht, warum alle, die eh nur Websites draug betreiben wollen, meinen, sie bräuchten unbedingt einen Vserver oder RootDS. Anbieter wie Servage.net Quality Web Hosting Web Hosting by DreamHost Web Hosting: Web Sites, Domain Registration, WordPress, Ruby on Rails, all on Debian Linux! sind günstiger, bieten 100 mal mehr Platz ( und die Zahl ist KEINE Übertreibung ) UND......man muss sich nicht um den SERVER KÜMMERN!!!!

Diverse CMSes und anderes wird als One-Click Installation angeboten, so dass die mitunter nervige Installation quasi auch flach fällt. Ich hätte z.B. Joomla so schnell in der aktuellen Version auf meinem Webspace installiert, so schnell kann man gar nicht "Vserver" sagen...

Lass es doch bleiben, mit dem Vserver, nimm Dir einen leistungsfähigen Webspace und Du wirst mit solchen Geschichten nicht mehr unbedingt kämpfen müssen.

In diesem Sinn,
Thunda

 

[racer]

Jeder fängt mal klein an! Vl gibt es auch Leute, die evtl. auch einen TS etc. auf ihrem VServer hosten wollen. Dies geht schlecht auf Webspace only

mfg
racer

 

[Thunderbyte]

Dafür gibts tonnenweise Free TS Anbieter, das ist kein Argument.

 

[charli]

Hallo,

Ich denke eine html Seite sollte keine Gefahr sein

Du weißt nicht, was der Einbrecher auf dem Server gemacht hat, das ist die Gefahr. Theoretisch könnte er ein Rootkit installiert haben, sich wann immer er Lust hat wieder mit dem Server verbinden und diesen z.B. für Spamversand oder DDOS nutzen.

Das ist leider häufig so, daß geknackte Server bereitgehalten werden, um sie bei Bedarf für einen Angriff einzusetzen. Wenn (angenommen) morgen Abend Ebay über DDOS plattgemacht werden sollte, könnte Dein Server dabei sein. Die Wahrscheinlichkeit ist klein, aber wenn's passiert der Ärger riesengroß.

Der einzig sichere Weg ist komplett runterfahren bis zur Neueinrichtung.

Um in einem solchen Fall wenigstens den Emailbetrieb durchgehend sicherzustellen (für www gibt's keine einfache Lösung) sollte man dauerhaft einen Backup-MX betreiben, dafür reicht ein ganz kleiner Vserver für ein paar Euro.

 

[sky2high]

Meinst du eBay merkt den DDOS von ein paar VServern?

 

[daseddy]

Um in einem solchen Fall wenigstens den Emailbetrieb durchgehend sicherzustellen (für www gibt's keine einfache Lösung) sollte man dauerhaft einen Backup-MX betreiben, dafür reicht ein ganz kleiner Vserver für ein paar Euro.

Darum muss man sich aber auch kümmern.
Übrigens, dass man einen Server alle 1-2 Jahre neu installieren muss halte ich für ein Gerücht.

 

[Thunderbyte]

Ich sags nochmal: wenn man sich nicht genauso um den Vserver kümmern WILL, wie um einen ausgewachsenen Server (denn vom Sicherheitsaspekt her besteht da KEIN Unterschied), sollte man ein Webspacepaket nehmen, wo andere, deutlich kundigere Leute sich um die Sicherheit kümmern.

Thunda

 

[charli]

Hallo,

Meinst du eBay merkt den DDOS von ein paar VServern?

so mies wie das zeitweise schon ohne DDOS läuft: ja

Im Ernst: wenn ein großer bekannter Anbieter attackiert wird nimmt man nicht ein paar Server als Angreifer, sondern tausende.

dass man einen Server alle 1-2 Jahre neu installieren muss halte ich für ein Gerücht.

Versuch mal Suse 9.3 auf 10.2 upzugraden, wenn er hinterher überhaupt noch läuft, dann nicht vernünftig. Bei Debian sieht es besser aus.

 

[Fireball22]

Ich weiß jetzt zwar leider nicht was hier alles schon genannt wurde, aber ich würde den Server aufjedenfall komplett formatieren und neu installieren lassen.

Es kommt sehr oft bei undichten Scripts vor, dass die Angreifer schädlichen Code ausführen und meistens auch Scripts in andere Server-Dienste einbauen, wodurch dein System verseucht wäre.
Ich rede nur von Erfahrung


Fireball22